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(S) Verfahren zum Sichern eines durch eine Schlusselhierarchie geschutzten Systems 

@ Die Erfindung betrifft ein Verfahren zum Sichern wenig- 

stens eines durch eine vorbestimmte Hierarchie von kryp- 

tografischen Sch I Ossein geschutzten Systems, insbeson- 
I d ere eines Pay-TV- Systems, gegen unberechtigte Nutzer. 

In Schlusselhierarchie-Systemen gibt es derzeit keine 

Moglichkeit, einen unzuverlassigen Kunden zu ermitteln, 

der einen vom Systembetreiber ubermittelten Gruppen- 

schlussel kopiert und an beltebige Personen weiterverau- 

Sert hat. Die Erfindung schlagt als Losung vor, daft wenig- 

stensein, einem unzuverlassigen Nutzer zugeordneter, in- 

dividueller kryptografischer Schlussel ermittelt wird, in- 

dem die Schnittmenge von wenigstens zwei vorbestimm- 

ten, zu verschiedenen Zeitpunkten gebildeten Teilmen- 

gen, die der gleichen Hierarchieebene angehoren, gebif- 

det wird. 
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Die Erfindung hclrilTl cin Verfahren zum Sichern wenig- 
stens cines durch eine vorhesiimnilc Hierarchie von krypto- 
gralischen Schlusseln seschutzien Systems, insbesondere 5 
cines Pay-TV-Systems, gegen unberechligie Nutzer geniaB 
Anspruch 1. 

Auf vieien Finsaizgebieten wird eine Schlusselhierarchie 
verwendoi. uin aus den inclividuellen kryptografischen 
Sch I Ossein der Kundcn einen fur eine groBc Anzahl von 10 
K unden genieinsamen Schlussel abzuleiten. Ein typischer 
AnwendungsfalJ stcllt ein Pay-TV-System dar. Mil Hilfe ei- 
ner Schliissel hierarchic ist es moglich, die Erlaubnis zum 
l:mplang eincs Pay-TV-Programms selektiv nur an ausge- 
w.ihlie Kundcn zu verteilen. Eine mogliche Schlusselhierar- 15 
chic ucisi die Form einer Baumsiruklur auf. In der uniersien 
llicrarchiccbcne erhalt jeder potentielle Kunde zunachst. 
eine Chipkarte odcr cin andcrcs Sichcrhcilsmodul, auf der 
ein individueller, eindeutig dem Kunden zugeordneter 
Schliissel gespcichen ist. Der Pay-TV-Prograrnmanbieler 20 
sneichert alle diese individuellen kryptografischen Schlussel 
in einer zeniralen Speichereinrichtung. Stufenweise wird 
danach die Schlussel hierarchic aufgebaut, indent in der 
zweiten libene zunachst die Schlussel der untersten Ebene 
zu iiichreren Teilmengen vorbestiiiiiiiler GroBe zusammen- 25 
geluBt werden. Jeder Teilmenge wird ein kryptografischer 
Ciruppcn schlussel zugeordnet, der mit Hilfe der die krypto- 
gralisehen Schliissel der untersten Ebene. die die jeweilige 
Teilmenge bilden, ubcrmittelt wird. AnschlieBend werden in 
der drillcn Ebene die Teilmengen der zweiten Ebene zu 30 
mehreren Teilmengen zusammengefaBt, wobei jede Teil- 
menge der drilten Ebene groBer ist als jede Teilmenge der 
zweiten Ebene. Jeder Teilmenge der dritten Ebene wird ein 
kryptografischer Gruppenschlussel zugeordnet, der mit 
Hilfe der kryptografischen Gruppenschlussel der zweiten 35 
Ebene, die die jeweilige Teilmenge bilden, uberrnittelt wird. 
Dieses Verfahren kann solange fortgesetzt werden, bis ein 
gemeinsainer Schlussel fur die Kunden, die zum Empfang 
des Pay-TV-Programms berechtigt sind, generiert ist. Auf 
cin solches, durch eine Schlusselhierarchie geschutztes Sy- 40 
stem sind verschiedene Angriffe denkbar, die alle davon 
ausgchen, daB ein unzuverlassiger Kunde den individuellen 
Schliissel, einen oder niehrere Gruppenschlussel oder den 
genieinsamen Schlussel, die auf seiner oder einer anderen 
Chipkarte gespeichert sind, kennt und diese unberechtigter- 45 
weise an beliebige Dritte weitergibt. Man unterscheidet drei 
mogliche AngrirYe auf ein solches System: 



Kunden eindeutig anhand des kopicnen Gruppcn- 
schlussels zu identifizieren. Der Systembetrciber muB 
ent weder alle Kundcn der durch den Gruppenschlussel 
identirizierten Gruppe von der Benuizung des Systems 
ausschlicBen odcr den MiBbrauch durch den kopiertcn 
Gruppenschlussel loleriercn. 



1. Der unzuverlassige Kunde kopiert den genieinsa- 
men Schlussel und gibt diesen unberechtigterweise, 50 
z. B. auf einer Piratenchipkarte, an andere Personen 
weiter. Dieser AngrifT kann dadurch abgewehrt wer- 
den, daB der Syslembetreiber, der die kryptografischen 
Schlussel generiert, den genieinsamen Schlussel in ent- 
sprechend kurz gewahlten Zeitintervallen neu gene- 55 
riert. 

2. Ein unzuverlassiger Kunde kopiert seinen individu- 
ellen kryptografischen Schlussel und gibt diesen unbe- 
rechtigterweise an andere Personen weiter. In diesem 
Fall kann der Kunde relativ einfach von der Nutzung 60 
des Systems ausgeschlossen werden, wenn der kopierte 
individuelle Schliissel. z. B. auf einer Piratenkarte, er- 
kannt wird. Dcnn zwischen dem individuellen krypto- 
grafischen Schlussel und der dazugehorigen Person be- 
stcht cin eindeutigcr Zusainnicnhang. 65 

3. Ein unzuverlassiger Kunde kopiert einen Gruppen- 
schlussel und gibt diesen weiter. In diesem Fall ist es 
ohne weiteres nicht moglich, den unzuverlassigen 



Der Errindung liegl daher die Auigabc zugrunde, ein Ver- 
fahren bereitzustellen, mit dem ein durch eine Schlussel- 
hierarchie geschutztes System gegen unberechligie Nutzer 
effektiver geschiitzt werden kann. 

Dieses technische Problem lost die Erfindung mil den 
Verfahrensschritten des Anspruchs 1. 

Jedem potentiellen Systemnutzer wird in der untersten 
Ebene der Schlusselhierarchie ein individueller kryptografi- 
scher Schlussel zugeordnet, der ihm beispiels weise durch 
eine Chipkarte oder ein anderes Sicherheitsmodul ausgehan- 
digt werden kann. Die individuellen kryptografischen 
Schlussel jedes Nutzers werden in einer dem System zuge- 
ordneten Speichereinrichtung abgespeichert. Zu vorbe- 
stimmten diskreten Zeitpunkten wird anschlieBend wenig- 
stens eine hohere Hierarchieebene von krypiografischen 
Schlusseln durch folgende Schritte gebildet: die kryptografi- 
schen Schlussel der unmittelbar niedrigeren Hierarchie- 
ebene werden in beliebiger Weise zu mehreren Teilmengen 
vorbeslimmter GroBe zusammengefaBt, wobei jeder Teil- 
menge ein kryptografischer Schlussel zugeordnet wird, der 
mit Hilfe der die jeweilige Teilmenge bildenden kryptogra- 
fischen Schlussel ubermitlelt und anschlieBend in der Spei- 
chereinrichtung abgelegt wird. Danach wird wenigstens ein, 
einem verdachtigen Nutzer zugeordneter individueller kryp- 
tografischer Schlussel ermittelt, indem die Schniumenge 
von wenigstens zwei vorbestinmiten, zu verschiedenen Zeit- 
punkten gebildeten Teilmengen, die der gleichen Hierar- 
chieebene angehoren, gebildet wird. 

Vorteilhafte Weiterbildungen sind in den Unteranspru- 
chen angegeben. 

Statt zu vorbestimmten diskreten Zeitpunkten die hoheren 
Hierarchieebenen neu zu bilden, konnen fur unterschiedli- 
che Systembetreiber gleichzeitig verschiedene Schlussel- 
hierarchien erzeugt werden. Jede Schlusselhierarchie weist 
wenigstens eine hohere Hierarchieebene von kryptografi- 
schen Schlusseln auf. Eine hohere Hierarchieebene wird da- 
durch gebildet, daB die kryptografischen Schlussel der un- 
mittelbar niedrigeren Hierarchieebene in beliebiger Weise 
zu mehreren Teilmengen vorbestimmter GroBe zusammen- 
gefaBt werden, wobei jeder Teilmenge ein kryptografischer 
Schlussel zugeordnet wird, der aus den, die jeweilige Teil- 
menge bildenden kryptografischen Schliissel generiert und 
anschlieBend in der Speichereinrichtung abgelegt wird. Da- 
nach wird wenigstens ein, einem verdachtigen Nutzer zuge- 
ordneter individueller kryptografischer Schlussel ermittelt, 
indem die Schnittmenge von wenigstens zwei vorbestimm- 
ten Teilmengen, die der gleichen Hierarchieebene verschie- 
dener Schlusselhierarchien angehoren, gebildet wird. 

Man kann zur Realisierung dieses Verfahrens sukzessive 
iiiimer groBere Teilmengen entsprechend der Anzahl von 
Hierarchieebenen bilden. Ein mogliches Beispiel hierfiir 
ware eine Schlusselhierarchie in Baumstruktur. Eine beson- 
ders effizienle Losung ergibt sich jedoch, wenn man geome- 
trische Strukturen verwendet, um die kryptografischen 
Schlussel zu Teilmengen vorbestinmiter GroBe zusammen- 
zufassen. Geometrische Strukturen biclen den Vorteil. daB 
die Eigenschaften der Schnittmengenbildung verschiedener 
Teilmengen schr gut bcschricbcn werden konncn. 

Vorzugsweise kann eine fur niehrere Kunden erzeugte 
Schlusselhierarchie mit Hilfe eines endlichen affincn Ramus 
AG(d,q) der Dimension d iiber dem Korper GF(q) realisiert 
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werden (siehc A. Bcutelspachcr, Einfuhrung in die cndlichc 
Geometric 1 & IJ, BI Wissenschaflsveriag 1 982, und A. Bcu- 
tclspacher und U. Rosenbaum, Projcktive Geometric Vic- 
weg Verlag. 1992). 

Die Schnittmengenbildung wircl noch einfacher, wenn die 
geonietrische Slruklur ein endlichcr projeklivcr Rauni 
PG(d,q) der Dimension d iibcr dem Korper GF(g) ist. 

Die Erfindung wird nachfolgend anhand mehrerer Aus- 
ftihrungsbei spiel in Verbindung mil den beiliegcnden Zeieh- 
nungen naher crlautert. Es zeigen: 

Fig. 1 eine Schlusseihierarchie fur vier berechligte Teil- 
nehmer in Baumsiruktur. die zu einem ersten Zeitpunkt ge- 
bildet worden isl. 

Fig. 2 eine Schliisselhierarchie nach Fig. 1, die jedoch zu 
einem zweiten Zeitpunkt generiert worden ist, 

Fig. 3 eine Schlusseihierarchie fur 27 Teilnehmer des af- 
finen Raums AG(3,3) ? die zu einem erslen Zeitpunkt gebil- 
det worden ist, 

Fig. 4 eine Schlusseihierarchie nach Fig. 3, die zu einem 
zweiten Zeitpunkt erzeugt worden ist, und 

Fig. 5 zwei verschiedene ? zur gleichen Zeit existierende 
Schlusselhierarchien. 

In Fig. 1 isl eine Schlusseihierarchie in Baumsiruktur bei- 
spielsweise fur ein Pay-TV-System dargestellt, das bei- 
spielsweise funf Kunden umfafii. Jeder Kunde i erhall von 
einem Systembetreiber oder Pay-TV-Programmanbieter ei- 
nen individuellen kryptografischen Schliissel PKj, der in der 
untersten Hierarchieebene angeordnet wird. Die untersle 
Hierarchieebene enthalt somit funf individuelle kryptografi- 
sche Schliissel PK,-PK 5 . Der Anbieter speichert diese 
Schliissel in einer zentralen Speichereinrichtung. Mit Hilfe 
der verwendeten Baumsiruktur isl es nunmehr moglich, aus- 
gewahlten Kunden die Erlaubnis zum Empfang eines Pay- 
TV-Programms einzuraumen. Beispielsweise sollen nur die 
Kunden 1, 2, 3, und 4 zum Empfang des TV-Programms aut- 
horisiert werden, der Kunde 5 dagegen nicht. Urn diese Be- 
rechtigungszuweisung zu erreichen, werden die Kunden 1 
bis 4 in der nachst hoheren Hierarchieebene - das ist die 
zweite Ebene - vorteilhafterweise zu zwei Teilmengen mil 
jeweils zwei Kunden zusamrnengefaBt. In der Praxis ge- 
schieht dies dadurch, daB in einer zentralen S telle zu nachst 
fur die beiden Teilmengen jeweils ein Gruppenschlussel 
GKj bzw. GK 2 generiert wird. Der Gruppenschlussel GKj 
wird mit Hilfe der beiden individuellen kryptografischen 
S Schliissel PK! und PK 2 der Kunden 1 bzw. 2 ubertragen, 
wohingegen der Gruppenschlussel GK 2 mit Hilfe der beiden 
individuellen kryptografischen Schlusseln PK 3 und PK 4 der 
Kunden 3 bzw. 4 ubertragen wird. Die Kunden 1 und 2 kon- 
nen inittels ihres individuellen kryptografischen Schliissel 
PK! bzw. PK 2 den Gruppenschlussel GKj berechnen, wo- 
hingegen die Kunden 3 und 4 mittels ihrer individuellen 
kryptografischen Schlussel PK 3 bzw. PK 4 den Gruppen- 
schlussel GK 2 berechnen konnen. Der Kunde 5 hingegen 
kann keinen der beiden Gruppenschlussel entschlusseln. In 
der hochslen Hierarchieebene - das ist hier die dritte Ebene 
- wird danach eine Gesamtmenge gebildei, die die beiden 
Teilmengen der unmittelbar darunterliegenden Ebene 2 und 
damit die vier berechtigten Kunden enthalt. In der zentralen 
Stelle wird dazu ein gemeinsamer Schlussel SK mit Hilfe 
der beiden Gruppenschlussel GK! und GK 2 der zweiten 
Ebene ubertragen. Da das vom Anbieter ausgesirahlte Pay- 
TV-Programm mil dem gemeinsamen Schlussel SK ver- 
schlusselt isK konnen die Kunden 1 bis 4 das Programm ent- 
schltisseln undenipfangen, der Kunde 5 hingegen nicht. Die 
in Fig. 1 dargcstciltc Schlusseihierarchie umfaBt bcispicl- 
haft drei Hierarchieebenen. 

Die Erfindung beschaftigt sich nunmehr mit dem Pro- 
blem, einen unzuverlassigen Kunden ausfindig zu machen. 



der einen Gruppenschlussel GKj oder GK 2 kopiert und un- 
hcrechiigterweise an Diiite weitcrvcrireibcn hat. Der unzu- 
verlassige Kunde kann die "geslohlcnen" Gruppenschlussel 
in Form von Piraten-Chipkarlen verauBern oder auch unter 
5 einer c-Mail-Adresse anbieten. Es sei angenommen, daB es 
sich bei dem Kunden 4 urn den unzuverlassigen Kunden, 
nachfolgcnd auch Pirat genannt, handelt, der den Gruppen- 
schlussel GK 2 , der von der zentralen Stelle zuvor rundge- 
sendet worden isl. kopiert und nun an beliebige Dritte wei- 
io tcrverauBert hat. Wenn der Systembetreiber in den Bcsitz 
des kopiertcn Gruppenschlussels GK 2 kommt, kann er den 
Piraten nicht eindeutig ermitteln. da der ( J ruppen schlussel 
GK 2 den beiden Kunden 3 und 4 zugeordnet ist. Es isl nun 
Ziel der Erfindung, den unzuverlassigen Kunden 4 aus der 
15 Gruppe von Kunden herauszufinden, die durch den Grup- 
penschlussel GK 2 identifiziert sind. Dazu wird die verdach- 
tige Gruppe mit ihrem zugeordneten kryptografischen 
Schliissel GK 2 in der zentralen Stelle abgcspcichcrt. Zu ei- 
nem vorbestimmten Zeitpunkt generiert die zentrale Stelle 

20 eine neue Schlusseihierarchie, die in Fig. 2 dargestellt ist, 
gebildet. Dazu werden willkurlich zwei neue Teilmengen 
gebildet. die beispielsweise die Kunden 1, 3 bzw. 2 und 4 
umfassen. Die Neubildung der Teilmengen wird in der zen- 
tralen Stelle verwirklicht, indem fur jede Teilmenge ein 

25 neuer Gruppenschlussel GKj* bzw. GKV generiert wird. 
Dariiber hinaus wird auch ein neuer gemeinsamer Schlussel 
SK' erzeugt. Die Vorgehensweise zur Erzeugung von Grup- 
penschlussel und eines gemeinsamen Schliissels wurde he- 
re its oben ausfuhrlich erlautert worden ist. Die neu generier- 

30 ten kryptografischen Schlussel werden wiederum zu den 
einzelnen Kunden ausgesendet und in der zentralen Stelle 
abgespeicherl. Der Pirat, in unserem Fall der Kunde 4, ist 
nunmehr gezwungen, den neuen Gruppenschlussel GKV zu 
kopieren und an beliebige Personen zu verteilen. Sob aid die 

35 zentrale Stelle im Besitz des kopierten Gruppenschlussels 
GKV ist, wird dieser in der zentralen Speichereinrichtung 
abgespeichert. AnschlieBend wird die Schnittmenge aus der 
Teilmenge, der der kryptografische Gruppenschlussel GK 2 
zugeordnet ist, und der Teilmenge, der der kryptografische 

40 Gruppenschlussel GKV zugeordnet. ist, ermittelt. Da die zum 
ersten Zeitpunkt (s. Fig. 1) gebildete Teilmenge die Kunden 
3 und 4 und die zum zweiten Zeitpunkt (s. Fig. 2) gebildete 
Teilmenge die Kunden 2 und 4 enthalt, ergibt sich als 
Schnittmengen der Kunde 4. Die zentrale Stelle kennt nun 

45 den unzuverlassigen Kunden und kann ihn von der Nutzung 
des Systems ausschlieBen, indem beispielsweise sein indivi- 
dueller kryptografischer Schliissel PK 4 gesperrt wird. Ob- 
wohl die in Fig. 1 und 2 gezeigten Schliisselhierarchien nur 
vier Kunden erfassen, konnen Schliisselhierarchien beliebi- 

50 ger GroBe verwendet werden. Damit erhoht sich selbstver- 
standlich auch der Aufwand, einen unzuverlassigen Kunden 
zu finden, da die Anzahl der Gruppen groBer ist. In Fig. 3 
und 4 sind zwei zu unterschiedlichen Zeitpunkten gebildete 
Hierarchien von Teilmengen beschrieben, die mit Hilfe des 

55 endlichen affinen Raums AG(3,3) der Dimension 3 uber den 
Korper GF(3) realisiert werden konnen. Der in Fig. 3 und 4 
dargesiellte affine Raum besteht aus 27 Punkten, die den po- 
tentiellen Pay-TV- Kunden entsprechen. Es ist vorteilhaft, 
die Hierarchic von Teilmengen mit Hilfe des endlichen affi- 

60 nen Raums zu realisieren, da damit die Eigenschaften der 
Schnittmengenbildung verschiedener Teilmengen sehr ge- 
nau beschrieben werden kann. Fig. 3 zeigt die zu einem er- 
slen Zeitpunkt gebildete Hierarchic Jedem Kunden wird 
vvieder ein individueller kryptografischer Schlussel PKj bis 

65 PK 27 bcrcitgcstcllt. Man kann sich nun vorstcllcn, daB je- 
dem Punkt des affinen Raums ein kryptografischer Schlussel 
des jeweiligen Kunden zugeordnet ist. Die 27 Punkte kon- 
nen sukzessive zu Teilmengen von drei bzw. neun Punkten 
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zusanmiengcfaBi wcrdcn, indcm man zunachst neun parai- 
lele Geraden auswahll und danach drei parailele Ebenen, die 
mil den Geraden vertraglich sein mussen. Mil anderen Wor- 
icn niussen die Geraden jewei Is vollstandig in einer dcr drei 
Ebenen enlhalien sein. Ubertragt man diese Slruktur auf 5 
cine Schltisselhierarchie, licgen die einzelnen Punkte in dcr 
uniersien Ebene, die Geraden in dcr zweiicn Ebene, die drei 
Ebenen des arrinen Kaumes in der drinen Ebene, wobei die 
hoehsie Hicrarchieebene den gesamten, die einzelnen 
Punkte, die neun Geraden und drei Ebenen umfassenden 10 
Rauni enthalt. In der zentralen Stelle werden nach deni be- 
reits ausfuhriich beschriebenen Verfahren fur jede Gerade. 
fur jede Ebene des affinen Raums Gruppenschlussel und fur 
den Rauni selbst ein gemeinsamer, alle Kunden umfassen- 
der Schlussel generierl. Der Vorteil der geometrischen 15 
Strukturen und insbesondere von affinen Rauraen beslehi 
nun darin, daB man genau angeben kann, wieviele Teilmen- 
gen (Geraden odcr Ebenen) man kennen muB, urn cincn bc- 
stimmten Punkt zu ermitteln. So schneiden sich beispiels- 
weise zwei nichlparallele Ebenen eines arlinen Raums ge- 20 
nau in einer Geraden, und drei paarweise nichtparallele Ebe- 
nen in genau einein Punkt. Um beispielsweise den individu- 
ellen Schlussel eines Piraten zu ennitteln, der den Gruppen- 
schlussel einer Ebene (das entspricht einer Gruppe von neun 
Personen) des alTinen kopiert und weiterverauBert hat, ge- 25 
niigt es, den affinen Raum zu drei diskreten Zeitpunkten der- 
ail in neue Ebenen aufzuteilen, da8 die Ebenen nicht parallel 
zueinander verlaufen. Mil anderen Worten mochte man ei- 
nen unzuverlassigen Kunden aus den 27 Kunden ermitteln, 
mussen neben den in Fig. 3 und 4 zu unterschiedlichen Zeit- 30 
punkten gebildeten Hierarchies noch eine dritte, zu einem 
dritten Zeitpunkt gebildete Hierarchie erzeugt werden. Wer- 
den die drei paarweise nicht parallelen Ebenen, denen je- 
weils ein bestimmter Gruppenschlussel zugeordnet ist, mit- 
einander geschnilten, so erhalt man einen gemeinsamen 35 
Schnittpunkt, der dem unzuverlassigen Kunden entspricht. 
Die zentrale Stelle muB nur noch veranlassen, daB der zu 
dem unzuverlassigen Kunden gehorende individuelle kryp- 
tografische Schlussel gesperrt wird. 

Noch einfacher wird das Verfahren zur Ermittlung eines 40 
unzuverlassigen Kunden durch Schnittmengenbildung, 
wenn endliche projektive Raume anstelle von endlichen af- 
finen Raumen verwendet werden, da man hier nicht zwi- 
schen parallelen und nichtparallelen Strukturen unterschei- 
den muB. Die oben beschriebenen Verfahren konnen auch 45 
angewendet werden, wenn ein unzuverlassiger Kunde meh- 
rere individuelle Schlussel kopiert und diese abwechselnd 
einsetzt. In diesem Fall mussen aber deutlich mehr Hierar- 
chien zu unterschiedlichen Zeitpunkten gebildet werden. 
Kennt z. B. ein Pirat zwei von neun individuellen kryptogra- 50 
fischen Schlusseln, so muB die affine Ebene insgesamt drei 
Mai neu in parailele Geraden aufgeteilt werden, um eine 
falschliche Identifizierung eines berechtigten Teilnehmers 
auszuschlieBen und einen der beiden Schlussel zu identifi- 
zieren. 55 

Anstatt zur Ermittlung des individuellen Schlussels eines 
Piraten niehrere Schliisselhierarchien zu vorbestimmten 
Zeitpunkten zu bilden mussen, ist es auch vorstellbar, daB 
verschiedene Schlusselhierarchien zur gleichen Zeit existie- 
ren. In Fig. 5 sind zwei verschiedene Schlusselhierarchien 60 
dargestellt. Mehrere gleichzeitig existierende Schlusselhier- 
archien sind sinnvoll, wenn sich mehrere Diensteanbieter 
ejne Kundenchipkarte teilen. Es sei angenommen, daB der 
Kunde 2 den die beiden Kunden 1 und 2 enthalienden Grup- 
penschlussel 10 des cincn Dicnsicanbictcrs und den die 65 
Kunden 2, 3 und 4 enthaltenden Gruppenschlussel 20 des 
anderen Diensteanbieiers kopiert und weiterverauBert habe. 
In diesem Fall kann man den unzuverlassigen Kunden wie- 



deruni durch Bildung dcr Schnillmengen dcr zugehorigen 
Gruppcn 10 und 20 bestimmen. Wie unleranderem aus Ki« 
5 zu erkenncn ist, niussen die Teilmengen derselben Hicrar- 
chieebene nichi noiwendigerweise die gleiche C.iroBc auf- 
weisen. 

Paleniansprlichc 

1 . Verfahren zuni Sichern wenigstens eines durch eine 
vorbestijumie Hierarchie von kryptografischen Schlus- 
seln geschutzten Systems, insbesondere eines Pay-TV- 
Systems. gegen unberechligte Nutzer mil folgcnden 
Verfahrensschritte: 

a) jedem Systemnutzer wird in der uniersien 
Hicrarchieebene ein individueller krypiograri- 
scher Schlussel zugeordnet; 

b) die individuellen, kryptografischen Schlussel 
wcrdcn in cincr dem System zugcordncicn Spci- 
chereinrichtung abgespeichert; 

c) zu vorbestimmten diskreten Zeitpunklen wird 
wenigstens eine hohere Hierarchieebene von 
kryptografischen Schlusseln durch folgende 
Schritte gebildet: 

- die kryptografischen Schlussel der unmit- 
lelbar niedrigeren Hierarchieebene werden in 
beliebiger Weise zu mehreren Teilmengen 
vorbestimrnter GroBe zusammengefaBt, wo- 
bei jeder Teilmenge ein kryptografischer 
Schlussel zugeordnet wird, der mit Hilfe der 
die jeweilige Teilmenge bildenden krypto- 
grafischen Schlussel ubertragen und an- 
schlieBend in der Speichereinrichtung abge- 
legt wird; 

d) Ermitteln wenigstens eines, einem Nutzer zu- 
geordneten individuellen kryptografischen 
Schlussels, indem die mengentheoretische 
Schnittmenge von wenigstens zwei vorbestimm- 
ten, zu verschiedenen Zeitpunkten gebildeten 
Teilmengen, die der gleichen Hierarchieebene an- 
gehoren, gebildet wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB die Schritte c) und d) ersetzt werden durch die 
Schritte: 

c') fur jedes System werden gleichzeitig wenig- 
stens zwei hohere Hierarchieebene von kryptogra- 
fischen Schlusseln durch folgende Schritte gebil- 
det: 

- die kryptografischen Schlussel der unmittelbar 
niedrigeren Hierarchieebene werden in beliebiger 
Weise zu mehreren Teilmengen vorbestimrnter 
GroBe zusammengefaBt, wobei jeder Teilmenge 
ein kryptografischer Schlussel zugeordnet wird, 
der mit Hilfe der die jeweilige Teilmenge bilden- 
den krypiografischen Schlussel ubertragen und 
anschiieBend in der Speichereinrichtung abgeiegt 
wird; 

d') Ermitteln wenigstens eines, einem Nuizer zu- 
geordneten individuellen kryptografischen 
Schlussels. indem die mengentheoretische 
Schnittmenge von wenigstens zwei vorbestimm- 
ten Teilmengen, die der gleichen Hierarchieebene 
verschiedener Schlusselhierarchien angehorcn, 
gebildet wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zcichnct, daB das Zusammcnfasscn dcr kryptografi- 
schen Schlussel zu Teilmengen vorbestimrnter GroBe 
durch endliche geometrische Strukturen feslgele^t 
wird. 
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4. Verfahrcn nach Anspruch 3, dadurch gekennzcich- 
net. dafi die geomelrische Slruktur ein endlichcr arliner 
Rauni AG(d,q) dcr Dimension d uber dem Korper 
GF(q) isl. 

5. Verfahren zur Brnrittlung eines kryplographischen 
Sen ILissels nach Anspruch 3. dadurch gekennzeichnet, 
dati die geomelrische Slruktur ein endlichcr projekliver 
Kaum PG(d.g) der Dimension d uber dem Korper 
GFiq) isi. 
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